Comment sécuriser efficacement son site internet sur WordPress ? Voici les solutions !
Une chose qui nous importe beaucoup est la sécurité. WordPress, étant un des CMS les plus populaires du web, est une cible privilégiée par les hackers. Ils savent profiter de la moindre faille afin de pirater les sites. Ces hackers font cela afin de récupérer des données sensibles ou encore pour utiliser votre site comme lien de renvoi vers leur propre site. Certains le font seulement pour s’amuser…
Nous allons voir, ici, une série d’astuces afin de limiter au maximum les possibilités de failles où des hackers pourraient facilement s’engouffrer. Ces astuces sont centrées sur l’utilisation du CMS WordPress, pour les autres vous pouvez potentiellement les adopter, mais il faudra sûrement trouver d’autres solutions afin de les appliquer.
Avoir son site en https au lieu de http
Une des premières choses à faire pour sécuriser son site web est de le passer en HTTPS au lieu de HTTP. Pour cela, il faut obtenir un certificat SSL pour votre nom de domaine. Un certificat SSL va crypter les communications entre le serveur de votre site Web et le navigateur de l’utilisateur. Cela va empêcher de potentiels hackers de pouvoir intercepter cet échange d’informations personnelles, qui peut contenir des mots de passe ou encore les données de carte de crédit. Il faut aussi savoir que Google référence bien mieux naturellement les sites sécurisés et pénalise donc par la même occasion les sites non sécurisés. Par ailleurs, si vous souhaitez améliorer votre référencement naturel, n’hésitez pas à consulter mon article Mes 12 astuces pour un bon référencement naturel sur Google
Mon conseil :
Vous pouvez obtenir un certificat SSL gratuitement grâce à Let’s Encrypt, qui a même un programme d’installation automatisé qui s’appelle Certbot, permettant d’ajouter un certificat à votre site en quelques minutes seulement.
Installer et configurer un pare-feu
Avoir un pare-feu est indispensable pour bloquer les attaques possibles, notamment celle qu’on appelle “attaque brute” ou “attaque par force brute”. Une attaque brute est une tentative de hacking qui vise à pirater le nom d’utilisateur et son mot de passe ou encore une page web qui serait cachée des moteurs de recherche car personnelle (exemple : page administrateur d’un site WordPress). Pour ce faire, le pirate va utiliser une vieille méthode d’attaque qui consiste en un processus d’essais et d’erreurs répétés qui, au fur et à mesure, espère tomber juste. C’est pour cela qu’on vous demande de complexifier vos mots de passe, pour que le craquage devienne quasiment impossible. Cela peut prendre plusieurs années avec cette technique si vous avez assez bien complexifié votre mot de passe.
Mon conseil :
Sur WordPress, vous pouvez utiliser WordFence qui est un plugin d’antivirus reconnu et efficace. C’est un plugin qu’on peut qualifier de “freemium” car ayant ces options de base gratuites et d’autres payantes via un abonnement premium. Lorsque vous allez l’installer, il va commencer par analyser si votre site est déjà infecté, puis il s’installe et sécurise votre site.
Ajouter des clés de sécurité secrètes
Un autre élément permettant de sécuriser davantage votre site internet est d’ajouter des clés de sécurité secrètes. Les clés d’authentification SALT créent un cookie d’identification qui rajoute une couche de protection supplémentaire à votre installation. Ces clés sont utilisées par WordPress pour créer une meilleure sécurisation du tableau de bord WordPress ainsi qu’un meilleur cryptage des informations qui sont stockées dans les cookies des utilisateurs visitant votre site.
Mon conseil :
Si ces codes ne sont pas déjà présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant ici : https://api.wordpress.org/secret-key/1.1/salt/
Installer un anti-spam sur les formulaires
Il est possible que des spammeurs utilisent les formulaires de contact ou d’inscription de votre site pour vous envoyer une flopée de publicités et liens en tout genre. Ils peuvent réaliser cela soit manuellement, soit avec l’aide de robots, ou plus communément appelés “bots” sur le web. Cette deuxième option est bien évidemment celle qui est habituellement utilisée car elle ne requiert aucune action de la part du spammeur, mais seulement leur mise en place.
Mon conseil :
Pour éviter d’être spammé de la sorte, vous pouvez utiliser Google ReCaptcha en téléchargeant l’extension Google Captcha (reCAPTCHA) by BestWebSoft. c’est un plugin gratuit, qui est simple d’utilisation et régulièrement mis à jour.
Ce qu’il ne faut pas faire :
Supprimer l’extension Askimet, fournie lorsque vous téléchargez WordPress. Plugin incontournable dans WordPress, il permet de bloquer les spams efficacement, et peut être complémentaire avec un Google ReCAPTCHA.
Vérifier que le template utilisé ne contient pas de virus
Cela peut arriver que des virus se trouvent dans des templates (ou thèmes), surtout ceux qui sont gratuits et téléchargés en dehors des sites certifiés. En effet, il est très pratique pour les hackers d’injecter un virus directement dans le template du site qui constitue sa structure. C’est pour cela qu’avant d’utiliser un template, il faut l’analyser afin de vérifier qu’il ne contient pas de virus qui permettrait à des personnes malintentionnés d’avoir une faille à exploiter dans votre site internet.
Mon conseil :
Vous pouvez installer un plugin de type TAC qui va analyser le template, comme par exemple Theme Authenticity Checker. Il faut éviter les plugins douteux et toujours prendre ceux avec le plus de téléchargements et d’avis positifs, ce qui est gage de sécurité.
Ce qu’il ne faut pas faire :
Télécharger de thèmes et de plugins autre part que sur les espaces officiels de WordPress ou des plateformes reconnues comme Envato. Rendez-vous sur ces sites de confiance qui sont reconnus comme sûrs.
Cacher sa version de WordPress
Il ne faut pas que la version de votre WordPress soit visible. En effet, cela donne des informations aux hackers pour trouver d’éventuelles failles de sécurité, car ils savent qu’elles peuvent savoir quelles sont les failles de la version que vous utilisez. Il est bon de rappeler que mettre à jour systématiquement sa version de WordPress corrige à chaque fois ces failles de sécurité, donc si votre site n’est pas à jour il sera facile de savoir comment profiter de ces failles.
Mon conseil :
Pour cacher votre version de WordPress, vous pouvez suivre les instructions suivantes :
– Dans le fichier function.php de votre thème WordPress, ajoutez le bout de code suivant : remove_action(« wp_head », « wp_generator »).
– Vous devez également supprimer le fichier readme.html qui est situé à la racine de votre WordPress et où on peut également trouver le numéro de votre version WordPress.
Garder ses plugins, son thème et sa version de WordPress à jour
Comme dit précédemment, il faut impérativement maintenir toute son installation WordPress à jour. Cela vaut pour sa version mais aussi le template et les plugins qui peuvent eux aussi créer des failles. Si des mises à jour sont régulièrement effectuées par les créateurs de ces outils, c’est qu’il est nécessaire de les installer à votre tour. En effet, les hackers cherchent sans cesse des nouvelles failles et c’est pour cela qu’il faut être rigoureux sur ces mises à jour.
Mon conseil :
Dans la même lignée, faites régulièrement des sauvegardes en fonction de la régularité de publication de votre contenu. Des backups du système sont à effectuer en prévention d’un piratage afin de ne rien perdre. Ces sauvegardes doivent être stockées hors du site afin de ne pas être impacter. Si les sauvegardes sont stockées sur le même serveur que le site, elles sont tout aussi vulnérables aux attaques.
Ce qu’il ne faut pas faire :
Compter aveuglément sur les mises à jour automatique. Il arrive régulièrement que les mises à jour ne s’effectuent pas automatiquement comme vous l’aviez paramétré, pour diverses raisons. C’est pour cela qu’il faut que vous vérifiez régulièrement si toutes les mises à jour ont été faites.
Créer un seul profil administrateur
Créer un seul profil administrateur seulement permet de limiter les risques, ou du moins le plus possible. En effet, cela réduit les possibilités de failles car cela fait des fenêtres d’entrée en moins dans votre site. Vous pouvez également changer l’identifiant admin qui est proposé par défaut et donc massivement visé par les pirates pour accéder à votre site. Pour cela, ajouter un compte administrateur avec un identifiant personnel qui est impossible à deviner, puis supprimer le compte admin de base.
Ce qu’il ne faut pas faire :
Donner l’accès au profil administrateur à n’importe qui. Si vous devez donner l’accès au tableau de bord à une personne tierce, par exemple pour la rédaction de contenu, alors dans ce cas créez un second profil avec un rôle moindre, comme Éditeur. Cela évitera de donner le contrôle du site à une autre personne, même si ça n’était pas l’objectif.
Ne pas laisser d’adresses e-mail écrites pleinement sur son site
Lorsque vous échangez votre adresse e-mail avec une autre personne, faites attention à ne pas l’écrire entièrement. En effet, quasiment 40% de la navigation sur Internet est effectuée par des robots et c’est le genre d’informations et de données qu’ils récupèrent. Il faut donc faire en sorte qu’elle ne soit pas écrite en entier de façon à ce que ça soit compréhensible pour votre destinataire mais inutilisable pour des potentiels robots malveillants. Nous ne sommes jamais assez prudents.
Mon conseil :
Utilisez un formulaire de contact équipé d’un système de protection contre les spams (pot de miel et/ou Google ReCAPTCHA), plutôt qu’une adresse email écrite directement sur le site. De cette manière, lorsque les robots analyseront votre site, ils ne trouveront aucune adresse email à rajouter à leur liste de spamming.
Faire attention à ses mots de passe
Les mots de passe sont ce qui vous protège des hackers, c’est pour cela qu’il faut faire très attention à eux. Il faut notamment utiliser des mots de passe complexes pour le FTP, qui permet d’envoyer tous les fichiers composants WordPress de votre ordinateur sur votre serveur, mais aussi pour le SQL, qui est la base de données et enfin votre identifiant administrateur de WordPress, comme dit précédemment.
Mon conseil :
– Pour avoir un mot de passe complexe, il faut associer des lettres, minuscules et majuscules, des symboles et des chiffres. Il doit être unique, long et illisible. Par exemple, privilégiez MotDeP@sse99? plutôt que motdepasse99
– Pour gérer l’ensemble de vos mots de passe, il existe des gestionnaires pour ça, comme LastPass.
Ce qu’il ne faut pas faire :
Envoyer ses mots de passe par e-mail, sur Messenger etc. En effet, cela fait qu’ils sont automatiquement stockés, et ce pour plusieurs années. Il suffit alors d’un piratage de ces serveurs pour qu’ils fuitent et soient récupérés. Dans le cas où cela se produit, il faut impérativement que vous les modifiez.
En bref...
Il ne faut pas penser que les déconvenues liées au hacking n’arrivent qu’aux autres, ça n’est pas vrai. Ça peut malheureusement arriver à n’importe qui, qui n’aurait pas fait les démarches nécessaires pour sécuriser son site internet. C’est pour cela qu’il est primordial de le faire, car les hackeurs n’iront pas perdre leur temps sur un site sécurisé alors qu’il existe des milliers de sites qui ont des failles. Cependant, il faut garder en tête que ça n’est pas forcément positif de trop multiplier les plugins pour se défendre, car ce sont eux-mêmes des portes d’entrée pour les hackers. Il faut donc faire attention à ce point-là.
Si vous voulez me confier votre projet, n’hésitez pas à découvrir mes prestations de création de site web pour en savoir plus !
Ping : Mes 9 astuces pour avoir plus de sécurité et de confidentialité sur Internet - Webdesign